Menaces informatiques et pratiques de sécurité en France

Transcription

1 Menaces informatiques et pratiques de sécurité en France Edition 2008 LES ENTREPRISES DE PLUS DE 200 SALARIÉS LES COLLECTIVITÉS LOCALES LES INTERNAUTES Club de la Sécurité de l Information Français

2

3 Remerciements Le CLUSIF remercie les personnes qui ont participé à cette étude : NOM ENTITE M. BELLEFIN Laurent SOLUCOM GROUP M. CHIOFALO Thierry SDV M. CONSTANT Paul CONSULTANT Mme DILIGENT Perrine BYWARD LIMITED M. FAUVEL Marc-Noël MAIRIE DE RUEIL MALMAISON M. FREYSSINET Eric GENDARMERIE NATIONALE M. GOJAT Pierre ORANGE BUSINESS SERVICES M. GRASSART Paul AGERIS CONSULTING M. GUERIN Olivier CLUSIF M. HAMON Bruno GROUPE LEXSI M. JOUAS Jean-Philippe CLUSIF M. LOINTIER Pascal AIG EUROPE M. MOURER Lionel BULL M. PAGET François MCAFEE M. RENAUDINEAU Patrice NANTES METROPOLE M. ROSE Philippe BEST PRACTICES SYSTEMES D INFORMATION M. ROULE Jean-Louis CLUSIF Le CLUSIF remercie aussi vivement les représentants des entreprises et collectivités ainsi que les internautes qui ont bien voulu participer à cette enquête. Enquête statistique réalisée pour le CLUSIF par le cabinet GMV Conseil et Harris Interactive. Menaces informatiques CLUSIF

4

5 Editorial A travers cette édition 2008 de son enquête sur les menaces informatiques et les pratiques de sécurité, le CLUSIF réalise de nouveau un bilan approfondi de la sécurité de l information en France. Cette enquête se veut être une référence de par la taille et la représentativité des échantillons d entreprises et de collectivités locales interrogés. Elle se veut par ailleurs très complète puisqu elle passe en revue un large panel de thèmes relatifs à la sécurité des systèmes d information. Et cette année, elle élargit son périmètre, avec un large volet consacré aux pratiques des particuliers utilisateurs d Internet à domicile. L usage de l informatique et d Internet à la maison est maintenant largement banalisé. Le comportement des utilisateurs de l informatique en entreprise est de plus en plus souvent influencé par la pratique privée, et les frontières entre les deux mondes deviennent plus floues. Notre enquête le montre : un tiers des internautes utilisent l ordinateur familial aussi à des fins professionnelles, ce qui pose quelques questions sur la protection des données de l entreprise Et si les internautes sont globalement prudents dès qu il s agit d achat sur Internet, et semblent conscients de l utilité des outils de protection (antivirus, pare feu personnels, etc.), ils ne se sentent que pour une minorité d entre eux véritablement en «insécurité» sur Internet. Coté entreprise, cette édition 2008 fait ressortir un inquiétant sentiment de stagnation. Entre 2004 et 2006 des progrès notables avaient été fait, en particulier dans le domaine de la formalisation des politiques et des chartes de sécurité. Mais depuis, il semble bien que la mise en application concrète de ces politiques soit restée un vœu pieu. 40 % des entreprises ne disposent toujours pas de plan de continuité d activité pour traiter les crises majeures, contre 42 % en Et 30 % d entre elle disent ne pas être en conformité avec la Loi Informatique et Liberté Pour autant, la menace ne faiblit pas et notre enquête montre de nouveau que les malveillances et les incidents de sécurité sont bien réels, avec une présence toujours active des attaques virales, des vols de matériel, et un accroissement des problèmes de divulgation d information et des attaques logiques ciblées. Et l actualité récente n a cessé de démontrer les graves impacts des déficiences en matière de sécurité (fraude bancaire, divulgation de données personnelles, etc.) Sortir des politiques de sécurité «alibi», que l on rédige pour se donner bonne conscience, pour aller vers des pratiques concrètes, réellement ancrées dans les processus de gestion de l information, voilà donc l enjeu pour les années à venir Laurent BELLEFIN Pour le Groupe de Travail «Enquête sur les menaces informatiques et les pratiques de sécurité» Menaces informatiques CLUSIF

6 Sommaire LES ENTREPRISES Présentation de l échantillon Dépendance à l informatique des entreprises de plus de 200 salariés Moyens consacrés à la sécurité de l information par les entreprises Thème 5 : Politique de sécurité Thème 6 : Organisation de la sécurité et moyens Thème 7 : La gestion des risques liés à la sécurité des SI Thème 8 : Sécurité liée aux Ressources Humaines Thème 10 : Gestion des opérations et des communications Thème 11 : Contrôle des accès logiques Thème 12 : Acquisition, développement et maintenance Thème 13 : Gestion des incidents - sinistralité Thème 14 : Gestion de la continuité d activité Thème 15 : Conformité LES COLLECTIVITÉS LOCALES Présentation de l échantillon Dépendance à l informatique des collectivités Moyens consacrés à la sécurité de l information par les collectivités Thème 5 : Politique de sécurité Thème 6 : Organisation de la sécurité et moyens Thème 7 : La gestion des risques liés à la sécurité des SI Thème 8 : Sécurité liée aux Ressources Humaines Thème 10 : Gestion des opérations et des communications Thème 11 : Contrôle des accès Thème 12 : Acquisition, développement et maintenance Thème 13 : Gestion des incidents - sinistralité Thème 14 : Gestion de la continuité d activité Thème 15 : Conformité LES INTERNAUTES Partie 1 : Profil de l internaute Partie 2 : Les usages d'internet Partie 3 : Perception des menaces et des risques Partie 4 : Moyens et comportements de sécurité Conclusion ANNEXE Menaces informatiques CLUSIF

7 Liste des figures Figure 1 : dépendance des entreprises à l'informatique Figure 2 : part du budget informatique alloué à la sécurité dans les entreprises Figure 3 : évolution du budget sécurité selon les secteurs d'activités Figure 4 : existence d'une politique sécurité en fonction de la taille de l'entreprise Figure 5 : appui de la PSI entreprise sur une «norme» de sécurité Figure 6 : rattachement hiérarchique du RSSI dans l entreprise Figure 7 : répartition des missions du RSSI Figure 8 : analyse des risques réalisée en entreprise Figure 9 : processus d'amélioration de la sécurité du SI Figure 10 : prise en compte des risques dans les projets Figure 11 : les acteurs de l'analyse des risques Figure 12 : existence d'une charte de sécurité, un effet de taille Figure 13 : outils de sensibilisation à la sécurité Figure 14 : mobilité et contrôles d'accès au système d information Figure 15 : technologies de sécurisation des accès nomades depuis des postes maîtrisés Figure 16 : technologies de sécurité / lutte antivirale, anti-intrusion, gestion des vulnérabilités Figure 17 : technologies de contrôle d'accès logique déployées en entreprise Figure 18 : réalisation d'une veille permanente en vulnérabilité Figure 19 : délai de déploiement des correctifs Figure 20 : cellules de collecte et de traitement des incidents d'origine malveillante Figure 21 : dépôts de plaintes des entreprises Figure 22 : nombre d'incidents de sécurité recensés en 2007 par les entreprises Figure 23 : typologie des incidents de sécurité en entreprise Figure 24 : mise en place d'un processus de gestion de la continuité d'activité du SI Figure 25 : fréquence des tests des plans de continuité d'activité Figure 26 : solutions de secours informatique Figure 27 : correspondant informatique et libertés en entreprise, par secteur d activité Figure 28 : nombre d'audits de sécurité menés sur un an Figure 29 : motivations des audits de sécurité Figure 30 : mise en place de tableaux de bord en entreprise Figure 31 : destinataires du tableau de bord Figure 32 : indicateurs suivis dans les tableaux de bord Figure 33 : échantillon des collectivités locales interrogées et redressement effectué Figure 34 : dépendance des collectivités locales à l'informatique Figure 35 : budget informatique moyen par type de collectivité locale Figure 36 : part du budget informatique alloué à la sécurité dans les collectivités Figure 37 : évolution des budgets selon les types de collectivités Figure 38 : freins à la conduite des missions de sécurité Figure 39 : existence d'une politique sécurité en fonction du type de collectivité Figure 40 : appui de la PSI des collectivités sur une «norme» de sécurité Figure 41 : identification de la fonction de RSSI Figure 42 : rattachement hiérarchique du RSSI dans les collectivités Figure 43 : répartition des missions du RSSI Figure 44 : analyse des risques réalisée par les collectivités Figure 45 : processus d'amélioration de la sécurité du SI pour les collectivités Figure 46 : prise en compte des risques dans les projets Figure 47 : existence d'une charte de sécurité Menaces informatiques CLUSIF

8 Figure 48 : mobilité et accès au SI dans les collectivités Figure 49 : sécurisation des accès au SI via des postes nomades fournis par les collectivités Figure 50 : technologies de sécurité utilisées dans les collectivités Figure 51 : technologies de contrôle d accès logique utilisées dans les collectivités Figure 52 : technologies de contrôle d accès logique utilisées dans les mairies, en 2008 et Figure 53 : réalisation d'une veille permanente en vulnérabilité dans les collectivités Figure 54 : délai de déploiement des correctifs dans les collectivités Figure 55 : typologie des incidents pour les collectivités Figure 56 : taux d'infection par virus dans les collectivités Figure 57 : origine des infections virales pour les collectivités Figure 58 : impact des infections virales pour les collectivités Figure 59 : nombre d'incidents de sécurité recensés l'an dernier par les collectivités Figure 60 : existence d'un processus formalisé de gestion de la continuité d'activité du SI Figure 61 : PCA dans les mairies de plus de habitants, en 2008 et Figure 62 : tests et mise à jour des plans de continuité d'activité Figure 63 : solutions de secours informatique Figure 64 : nombre d audits de sécurité menés par an par les collectivités Figure 65 : types d'audits de sécurité Figure 66 : déclenchement des audits Figure 67 : exemple de redressement effectué sur l'échantillon Figure 68 : nombre d'ordinateurs par foyer Figure 69 : types d usage de l'ordinateur familial Figure 70 : temps de connexion à Internet Figure 71 : parts de marché des FAI Figure 72 : habitudes de téléchargement de musique et films Figure 73 : incidents de sécurité subis par les internautes dans les 18 mois Figure 74 : menaces par ordre d importance, selon les internautes Figure 75 : différence de perception des risques selon le sexe Figure 76 : pratiques et situations jugées à risque par les internautes Figure 77 : moyens de protection utilisés par les internautes Menaces informatiques CLUSIF

9 Méthodologie L enquête du CLUSIF sur les menaces informatiques et les pratiques de sécurité en France en 2008 a été réalisée au cours des mois de janvier, février et mars 2008, en collaboration avec le cabinet spécialisé GMV Conseil, sur la base de questionnaires d enquête élaborés par le CLUSIF. Trois cibles ont été retenues pour cette enquête : les entreprises de plus de 200 salariés : 354 entreprises de cette catégorie ont répondu à cette enquête, les collectivités, c'est-à-dire les mairies des communes de plus de habitants, les communautés de communes et les communautés d agglomérations, les conseils généraux et les conseils régionaux : 194 collectivités ont accepté de répondre à cette enquête, les particuliers internautes : 1139 individus issus du panel d'internautes de l'institut spécialisé Harris Interactive, ont répondu à cette enquête via Internet. Pour les deux premières cibles, le questionnaire utilisé a été construit en reprenant les thèmes de la norme ISO qui décrit les différents items à couvrir dans le domaine de la sécurité de l information. L objectif était de mesurer de manière assez complète le niveau actuel d implémentation des meilleures pratiques de ce domaine. Ces différents thèmes, numérotés de 5 à 15 sont les suivants : Thème 5 : Politique de sécurité ; Thème 6 : Organisation de la sécurité et moyens ; Thème 7 : La gestion des risques liés à la sécurité des SI ; Thème 8 : Sécurité des ressources humaines (charte, sensibilisation) ; Thème 10 : Gestion des communications et des opérations ; Thème 11 : Contrôle des accès ; Thème 12 : Acquisition, développement et maintenance ; Thème 13 : Gestion des incidents de sécurité ; Thème 14 : Gestion de la continuité ; Thème 15 : Conformité (CNIL, audits, tableaux de bord). Seul le thème 9, qui porte sur la sécurité physique, a été laissé de coté. Pour ce qui concerne les particuliers internautes, les thèmes suivants ont été abordés : caractérisation socioprofessionnelle des personnes interrogées et identification de leurs outils informatiques, usages de l informatique et d Internet à domicile, perception de la menace informatique, sensibilité aux risques et à la sécurité, incidents rencontrés, pratiques de sécurité mises en œuvre (comportement et solutions techniques). Les réponses aux questions ont été consolidées par GMV Conseil en préservant un total anonymat des informations, puis ont été analysées par un groupe d experts du CLUSIF spécialistes du domaine de la sécurité de l information. Menaces informatiques CLUSIF

10

11 Entreprises Présentation de l échantillon Dépendance à l informatique des entreprises de plus de 200 salariés Moyens consacrés à la sécurité de l information par les entreprises Thème 5 : Politique de sécurité Thème 6 : Organisation de la sécurité et moyens Thème 7 : La gestion des risques liés à la sécurité des SI Thème 8 : Sécurité liée aux Ressources Humaines Thème 10 : Gestion des opérations et des communications Thème 11 : Contrôle des accès logiques Thème 12 : Acquisition, développement et maintenance Thème 13 : Gestion des incidents sinistralité Thème 14 : Gestion de la continuité d activité Thème 15 : Conformité Menaces informatiques CLUSIF

12 Présentation de l échantillon Les Entreprises Le CLUSIF souhaitait, pour l'édition 2008 de cette enquête, interroger exactement le même échantillon d'entreprises que celui interrogé en 2006, afin de pouvoir comparer les progrès ou les éventuelles régressions. Ainsi, la cible est constituée des entreprises de plus de 200 salariés, des secteurs d'activité suivants : BTP Commerce Industrie Services, banques, assurances Transport Télécoms 354 entreprises ont répondu à la sollicitation du CLUSIF, avec un taux d'acceptation d'environ 6 % (en baisse par rapport à 2006) : sur 100 entreprises contactées, seulement 6 ont accepté de répondre à nos questions, ce qui a impliqué d'appeler environ entreprises! 307 entreprises ont répondu par téléphone (entretien de 32 minutes en moyenne), les autres ont préféré répondre aux questions en direct par Internet sur un espace dédié et sécurisé. L échantillon est construit selon la méthode des quotas avec 2 critères : l effectif et le secteur d activité des entreprises, pour obtenir les résultats les plus représentatifs de la population des entreprises. Cet échantillon est ensuite redressé sur l effectif et le secteur d activité pour se rapprocher de la réalité des entreprises françaises, sur la base des données INSEE. De 200 à 499 salariés De 500 à 999 salariés + de 1000 salariés Total Total en % Données INSEE BTP % 6 % COMMERCE % 17 % INDUSTRIE % 43 % SERVICES % 25 % TRANSPORTS % 9 % TELECOMS Total % Total en % 52 % 17 % 30 % Redressement Données INSEE 66 % 19 % 15 % Redressement Au sein de chaque entreprise, nous avons cherché à interroger en priorité le Responsable de la Sécurité des Systèmes d Information RSSI (pour 21 % des entreprises interrogées mais 43 % dans les plus de 1000 salariés), ou à défaut, en particulier dans les plus petites entreprises de notre échantillon, le responsable informatique (pour 50 % des entreprises interrogées). Toutes tailles et secteurs confondus, les personnes sondées sont, à 66 %, des DSI 2, des Directeurs informatiques ou des RSSI. 1 Le lecteur attentif notera que nous annonçons par ailleurs 354 répondants, ce qui est exact. Ce tableau, issu d une compilation intermédiaire n en recense toutefois que 352, ce qui n impacte pas les ratios. 2 Voir glossaire Menaces informatiques CLUSIF

13 Les Entreprises de plus de 200 salariés Dépendance à l informatique des entreprises de plus de 200 salariés Le système d information stratégique pour toutes les entreprises L'enquête confirme cette année encore que l'informatique est perçue comme stratégique par une très large majorité des entreprises : tous secteurs confondus et quelle que soit leur taille, 73 % d'entre elles jugent lourde de conséquences une indisponibilité de moins de 24h de leurs outils informatiques (avec un maximum de 83 % pour le secteur du commerce) Votre entreprise a-t-elle une dépendance à l'informatique Forte 73% Faible 1% Modérée 26% Figure 1 : dépendance des entreprises à l'informatique Moyens consacrés à la sécurité de l information par les entreprises Un budget informatique moyen à 1,9 million Lorsqu'on les interroge sur leur budget informatique, seulement 25 % des entreprises répondent. Pour celles qui «parlent», un tiers des entreprises interrogées ont un budget compris entre 1 et 2 millions d'euros. 10 % des budgets sont supérieurs à 5 millions d'euros pour un maximum de 100 millions d'euros. Un budget sécurité dont le périmètre semble encore et toujours mal cerné Plutôt que de les interroger sur un budget en valeur absolue, peu significatif s'il n'est pas très précisément corrélé avec les caractéristiques de taille et de métier de chaque répondant, nous avons interrogé les RSSI sur la part du budget informatique dévolu à la sécurité de l'information. Peu d évolution entre les résultats des années précédentes et ceux que nous découvrons aujourd hui. Sauf peut-être que les responsables sécurité ont encore un peu plus de difficultés à se positionner puisque 30 % d entre eux avouent ne pas savoir quel poids leur budget représente dans le budget informatique. Un référentiel d'identification des coûts relevant de la sécurité du système d information permettrait d'en dessiner les contours plus nettement. Lorsque ce budget est clairement identifié par rapport au budget informatique, on ne peut que constater une grande hétérogénéité. Menaces informatiques CLUSIF

14 Les Entreprises de plus de 200 salariés Quel pourcentage représente le budget sécurité par rapport au budget informatique? Ne sait pas 30% Moins de 1% 14% De 1 à 3 % 19% Plus de 6 % 21% De 3 à 6 % 16% Figure 2 : part du budget informatique alloué à la sécurité dans les entreprises Une inquiétante stagnation des budgets sécurité En terme d'évolution, il est intéressant de noter que ces budgets sont majoritairement constants et ce, quelle que soit la taille de l'entreprise. Cet inquiétant sentiment de stagnation est heureusement relativisé par quelques augmentations : une entreprise sur deux du secteur des services, banques et assurances a augmenté son budget cette année, parfois de manière très importante (28 % des entreprises de ce secteur ont noté une augmentation de plus de 10 % de leur budget). En 2007, quelle a été l'évolution du budget sécurité par rapport à 2006? Moyenne 5% 43% 37% 16% Services, Banques, Assurances 6% 33% 48% 13% Transport, Télécom 6% 37% 37% 19% Commerce 3% 48% 33% 17% BTP-Industrie 5% 47% 32% 16% En régression Constant En augmentation Ne sait pas Figure 3 : évolution du budget sécurité selon les secteurs d'activités Menaces informatiques CLUSIF

15 Les Entreprises de plus de 200 salariés Les contraintes organisationnelles et le budget freinent le RSSI Enfin, lorsque l'on cherche à connaître les freins à la conduite des missions de sécurité dans leur entreprise, les RSSI citent par ordre d importance décroissante : 1 ère raison citée (36 %) : les contraintes organisationnelles. 2 ème raison citée (35 %) : le manque de budget. 3 ème raison citée (27 %) : la réticence de la hiérarchie, des services ou des utilisateurs. 4 ème raison citée (23 %) : le manque de personnel qualifié. 5 ème raison citée (8 %) : la réticence de la Direction des Systèmes d Information. Les deux freins principaux sont les contraintes organisationnelles (qui ressortent comme un frein plus important qu il y a deux ans) et le manque de moyens budgétaires dont nous n avons pas fini de nous alarmer. Au chapitre des bonnes nouvelles, l utilisateur du système d information ne semble pas systématiquement perçu comme une gêne par les RSSI, souhaitons qu il soit même considéré comme un allié dans la réalisation de leurs objectifs. De même, la DSI semble être résolument un atout dans la manche du RSSI. Le manque de personnel qualifié était le frein numéro 2 en 2006 et rétrograde aujourd hui en 4 ème position. Le détail des réponses montre un résultat moins satisfaisant qu il n y parait puisque 53 % des RSSI, soit plus d un sur deux, dénoncent ce manque de personnel comme frein majeur (choix un ou choix deux des freins les plus importants). L agitation frénétique du marché de l emploi dans le secteur de la SSI et l augmentation du nombre d offres sont d ailleurs d autres témoins de cette insatisfaction récurrente. Menaces informatiques CLUSIF

16 Les Entreprises de plus de 200 salariés Thème 5 : Politique de sécurité Une stagnation dans la formalisation des politiques de sécurité de l information La mise en œuvre d une Politique de Sécurité de l Information (PSI) est une étape importante dans la mise en place des règles de bonne gouvernance du SI en entreprise. 55 % des entreprises sont dotées d une telle PSI ; toutes entreprises confondues, les chiffres n ont que peu évolué par rapport à 2006 (moins 1 %). Toutefois, un recul assez net (moins 6 % sur 2006) est à noter pour les grandes entreprises, même si elles restent les plus avancées. On peut y voir une meilleure compréhension du terme PSI : ce dernier ne faisant plus référence seulement à un document «simpliste», mais à un «cadre complet» (prise en compte des risques métiers, document «chapeau» et «d applications», procédures complètes allant vers le SMSI 3 ). De fait, le travail des RSSI ainsi que des associations professionnelles est loin d être terminé Votre entreprise a-t-elle formalisé sa politique de sécurité? NSP 1000 et + OUI 66% NON 30% 4% 500 à % 40% 1% 200 à % 48% 2% Figure 4 : existence d'une politique sécurité en fonction de la taille de l'entreprise mais une utilisation des normes du domaine en légère régression Aujourd hui, 47 % des entreprises s appuient sur une «norme» pour formaliser leur PSI (- 1 % par rapport à 2006). Les normes ISO 2700x (ou ISO 17799) arrivent en tête, en particulier dans les grandes entreprises (32 % d entre elles utilisent l ISO) se positionnant clairement comme la référence en la matière ; avec toutefois 11 % par rapport à 2006! 3 Voir glossaire Menaces informatiques CLUSIF

17 Les Entreprises de plus de 200 salariés La PSI de votre entreprise s'appuie-t-elle sur une «norme de sécurité»? Non 45% Norme ISO 2700x 18% PSSI de la DCSSI 7% Autre 22% Ne sait pas 15% (multi-réponses : total > 100) Figure 5 : appui de la PSI entreprise sur une «norme» de sécurité Toutefois, les «normes» ne sont pas les seules bases utilisables pour mettre en œuvre une démarche de sécurisation du SI formelle et cohérente. Il existe également des «cadres métiers» spécifiques à certains secteurs (santé, certaines industries, etc.) permettant de formaliser des bonnes pratiques sans faire référence à une norme (ce que font 22 % des entreprises). Néanmoins, ces normes constituent un guide intéressant pour assurer une bonne couverture des thématiques de sécurité à aborder par un RSSI. L intérêt de telles normes est notamment de garantir la complétude des thèmes traités par la PSI, et pourquoi pas, comme le pensent certains acteurs du marché, de viser une certification des entreprises, telle que cela est pratiqué dans le domaine de la qualité. Une démarche portée par la Direction Générale? Dans 95 % des cas, la PSI est soutenue explicitement par la direction générale de l entreprise (59 % en totalité, 36 % en partie) ; ceci démontre bien la volonté du management de doter leur entreprise d un cadre formel, d une vraie culture de la sécurité des systèmes d information, et aussi leur souhait de mobiliser les salariés autour de la mise en œuvre de cette politique. La pression réglementaire renforcée suite aux scandales liés à la mauvaise gestion de certaines entreprises, et les incidents fréquents et largement médiatisés concernant par exemple la divulgation d informations confidentielles (très focalisée aujourd hui sur les données personnelles), vont continuer à pousser les entreprises à mettre en place des règles de gouvernance plus strictes en matière de sécurité de l information. Mais trop souvent, comme le montrent les autres chiffres de notre enquête, les directions générales perçoivent mal l ampleur des chantiers à lancer pour que ces politiques soient réellement mises en application, et ne dégagent pas les moyens et l énergie nécessaires à cette mise en application. Pourtant, lorsque la politique est rédigée et validée, le travail commence seulement Menaces informatiques CLUSIF

18 Les Entreprises de plus de 200 salariés Thème 6 : Organisation de la sécurité et moyens Le RSSI, une responsabilité trop peu identifiée et attribuée 37 % des entreprises disposent d une fonction RSSI clairement identifiée, dont 16 % à temps plein (fonction unique) et 21 % à temps partagé (plusieurs fonctions). La présence de RSSI identifiés croît régulièrement avec la taille de l entreprise : 31 % des entreprises pour un effectif de 200 à 499 personnes, 39 % entre 500 et 999 personnes, 61 % au-delà de 1000 personnes. Cette attribution formelle de la sécurité de l information à un RSSI est en régression visible depuis l étude 2006 (il y avait 42 % de RSSI en 2006). Les responsables informatiques semblent souvent «reprendre la main» sur cette fonction en se l attribuant directement. Lorsqu il n y a pas de RSSI à temps plein, cette fonction est en effet assurée à plus de 50 % directement par le DSI ou responsable informatique Ce rôle peut aussi être assuré par des responsables de haut niveau (jusqu au DG) ou transversaux (finance, contrôle interne, etc.), voire par un consultant externe (6,5 %). Le RSSI, un rattachement (enfin!) plus fréquent à la direction générale Ici, l évolution est évidente : aujourd hui, le poste de RSSI, lorsqu il existe, est rattaché à la direction générale dans 45 % des cas (+ 6 % / 2006) et 32 % à la DSI (- 9 % / 2006). L évolution vers une relative indépendance du RSSI par rapport aux fonctions informatiques se poursuit, 68 % des RSSI n y étant plus rattachés. Quel est le rattachement hiérarchique du RSSI? Direction générale % 45% Direction des systèmes d'information % 41% NSP Autres % 3% 18% 20% Figure 6 : rattachement hiérarchique du RSSI dans l entreprise Menaces informatiques CLUSIF

19 Les Entreprises de plus de 200 salariés Le RSSI : une fonction équilibrée entre l opérationnel, le technique et le fonctionnel Le RSSI voit son rôle réparti en 3 tiers quasiment identiques. On peut y voir une répartition «idéale» mise à l épreuve du terrain des fonctions dévolues au RSSI. Dans le cadre de ses missions, quel % de son temps le RSSI consacre-t-il aux aspects 31% 34% 35% fonctionnels techniques opérationnels fonctionnels (PSI, analyses de risques, etc.) techniques (définitions des architectures de sécurité, projets techniques, etc.) opérationnels (gestion des droits d'accès, administration des pare-feux, etc.) Figure 7 : répartition des missions du RSSI Le RSSI est souvent un homme seul Il n y a pas d équipe assignée en permanence à la sécurité de l information dans 43 % des entreprises en moyenne. S il y a une équipe permanente dédiée à la sécurité, elle comprend 1 à 2 personnes pour 41 % des entreprises, 3 à 5 personnes pour 12 % des cas et ne dépasse 5 personnes que dans 2 % des cas. Les moyens humains affectés à la gestion des problèmes de sécurité de l information apparaissent en retrait de ce qui pourrait être attendu au regard de la dépendance exprimée des entreprises vis-à-vis de leur système d information, notamment dans les cas de contraintes fortes (24/7 par exemple). Menaces informatiques CLUSIF

20 Les Entreprises de plus de 200 salariés Thème 7 : La gestion des risques liés à la sécurité des SI Une pratique de l analyse de risque qui se développe Seulement 30 % des entreprises interrogées affirment réaliser une analyse globale des risques liés à la sécurité de leur SI. Toutefois, en prenant en compte les entreprises qui effectuent des analyses de risque partielles, on obtient le chiffre de 60 %. Et elles utilisent les résultats de ces travaux pour définir leurs priorités d action dans le domaine de la sécurité des SI pour 41 % d entre elles. Avez-vous réalisé une analyse globale des risques liés à la sécurité du système d'information de votre entreprise? Si Oui, avez-vous défini et argumenté le plan d'action d'amélioration de la SSI de votre entreprise en fonction de cette analyse? Non 40% Oui, en totalité 30% Oui, en partie 30% Non 10% Oui, en partie 49% Oui, complète ment 41% Figure 8 : analyse des risques réalisée en entreprise Figure 9 : processus d'amélioration de la sécurité du SI La notion de risques liés à la sécurité des SI est donc maintenant reconnue et prise en compte pour l élaboration des plans d amélioration de la sécurité par une grande majorité des entreprises. C est une excellente nouvelle, même si ces chiffres paraissent optimistes pour les experts du CLUSIF. Cette notion d analyse de risque reste encore trop souvent informelle, l utilisation des méthodes rigoureuses d analyse, telle que la méthode MEHARI 4 par exemple, étant encore trop peu répandue. La prise en compte des risques pour les nouveaux projets informatiques ne semble pas formalisée puisqu elle n est systématique que pour 36 % des entreprises. Pour les autres, 37 % ne réalisent pas systématiquement d analyse de risques pour ces nouveaux projets informatiques et 24 % n en font jamais. Le chiffre des entreprises réalisant systématiquement ou parfois ces analyses (73 %) reste toutefois stable par rapport à Voir glossaire Menaces informatiques CLUSIF

21 Les Entreprises de plus de 200 salariés Menez-vous une analyse de risques pour les nouveaux projets informatiques ou lors d'évolutions importantes? Non 24% Oui, systématique ment 36% Oui, parfois 37% Figure 10 : prise en compte des risques dans les projets Le RSSI toujours leader sur l analyse des risques Le RSSI est en charge de l analyse des risques dans 35 % des cas. Seules 12 % des entreprises confient cette analyse aux «responsables métiers» qui sont à l origine des projets informatiques. Cette proportion augmente un peu dans les grandes entreprises de plus de 1000 salariés (14 % des cas) mais semble en net recul par rapport à Cette proportion devrait pourtant augmenter progressivement dans le futur : il est cohérent que les métiers soient chargés de se prononcer sur les risques acceptables pour l entreprise, même s il s agit de risques impactant le SI. Le rôle du RSSI est de faire le lien entre les exigences de ces responsables métiers et les responsables de l informatique. Qui est en charge de l'analyse des risques? Autre 20% Le chef de projet informatique 27% NSP 6% Le propriétaire de chaque actif ou projet (le resp. métier par ex.) 12% Le RSSI 35% Figure 11 : les acteurs de l'analyse des risques Menaces informatiques CLUSIF

22 Les Entreprises de plus de 200 salariés Thème 8 : Sécurité liée aux Ressources Humaines Chartes de sécurité : un palier semble atteint La proportion d entreprises qui déclarent disposer d une charte sécurité n a pas progressé entre 2006 et On note même une légère régression (50 % des entreprises en 2008, contre 55 % lors de l enquête 2006). Même si le ratio peut sembler déjà élevé (une entreprise sur deux a établi une charte sécurité), ce document, qui contribue de manière importante à la sensibilisation des utilisateurs et à la réglementation de leurs pratiques, est loin d être généralisé. Les entreprises de plus de 1000 personnes (avec près de 60 %) ainsi que celles du secteur des services (62 %) ont une longueur d avance, signe d une certaine maturité de la politique de sécurité et de moyens plus conséquents. Existe-t-il une charte de sécurité à destination du personnel de l'entreprise? 70% 60% 57% Existence d'une charte de sécurité En cours d'élaboration 59% 50% 45% 50% 40% 30% 20% 10% 10% 10% 15% 11% 0% 200 à 499 salariés 500 à 999 salariés Plus de 1000 salariés Ensemble Figure 12 : existence d'une charte de sécurité, un effet de taille Dans huit entreprises disposant d une charte sécurité sur dix, cette charte est communiquée à l ensemble des collaborateurs (qui la signent dans un cas sur deux) et son contenu précise les sanctions disciplinaires applicables dans 56 % des cas. Sur ce dernier point, la taille de l entreprise a une influence : sept entreprises de plus de mille salariés sur dix ont intégré les sanctions dans le règlement intérieur, contre 51 % pour les PME de 200 à 499 salariés. La sensibilisation des collaborateurs : une pratique encore peu répandue L existence d une charte n est pas toujours complétée par des opérations de sensibilisation des collaborateurs aux bonnes pratiques de sécurité. Seulement un tiers des entreprises (35 %) ont institué des programmes de sensibilisation à la sécurité de l information (53 % des entreprises de plus de mille salariés). La panoplie des outils de sensibilisation à la sécurité et leur hiérarchie n a pas été bouleversée par rapport à notre dernière enquête. Ainsi, les actions les plus simples (publication d articles sur l Intranet ou le journal interne) sont les plus plébiscitées, ce qui était déjà le cas en En revanche, leur efficacité n est pas mesurée dans huit entreprises sur dix. Menaces informatiques CLUSIF

23 Les Entreprises de plus de 200 salariés Lors de la précédente enquête, la publication sur différents supports avait été citée par les deux tiers des entreprises comme l un des outils de sensibilisation privilégié. En 2008, les entreprises ne sont que 42 % à citer ces outils. On aurait pu s attendre à ce que ce tassement soit le reflet d une montée en puissance d autres méthodes, ce qui n est pas le cas. En particulier, les sessions de formation ne se développent pas. Si l on est optimiste, on peut y voir le résultat, sur le plan humain, d une intériorisation de certaines bonnes pratiques par les utilisateurs ; sur le plan technologique d une meilleure efficacité des mécanismes de sécurité mis en place et, sur le plan organisationnel, d une meilleure diffusion de la culture sécurité. Mais nous estimons que les actions de sensibilisation restent encore largement insuffisantes au regard des enjeux : seuls 18 % du personnel fait l objet de formation/information de manière récurrente. On préfère se contenter pour l instant d une communication standardisée, sous la forme de diffusion d'articles et/ou d'affiches, qui est clairement moins efficace... Dans un même esprit, soulignons également le faible taux de sensibilisation des nouveaux arrivants dans l entreprise (36 %) alors que le facteur humain est toujours, à juste titre, présenté comme un des points de faiblesse majeurs en termes de sécurité dans l entreprise. Quels sont les moyens utilisés pour assurer la sensibilisation? Quiz ou questionnaire ludique sur Intranet 6% Formation dédiée à des populations spécifiques Dépliants Formation périodique de tout le personnel 15% 15% 18% Autres 23% Session de sensibilisation des nouveaux arrivants 36% Publications (Intranet, affiches, articles, mailing) 42% Figure 13 : outils de sensibilisation à la sécurité Menaces informatiques CLUSIF

24 Les Entreprises de plus de 200 salariés Thème 10 : Gestion des opérations et des communications Sécurisation des nouvelles technologies Bien qu elle ait diminué par rapport à l étude 2006 (sauf pour les PDA/smartphones, dont l usage a fait l objet d un recadrage important), l interdiction des nouvelles technologies qui induisent des risques de sécurité est encore souvent la méthode retenue pour se prémunir de ces risques dans les entreprises. Mobilité et contrôles d'accès au SI Accès au SI depuis un poste contrôlé % 6% 73% 78% 20% 13% 2% 1% Accès au SI depuis un poste non contrôlé % % 21% 27% 75% 71% 3% 1% PDA et smartphones % 9% 29% 45% 63% 43% 4% 3% Connexion (interne) au LAN en Wifi % 5% 37% 49% 55% 44% 2% 3% VoIP / ToIP % 6% 18% 19% 67% 73% 6% 3% Autorisé sans condition Autorisé sous condition Interdit NSP Figure 14 : mobilité et contrôles d'accès au système d information L informatique mobile sous contrôle La mobilité est un sujet qui va rester au cœur de l actualité eu égard aux nouveaux modes de travail en vigueur dans les entreprises (rester connecté, tout le temps, avec au minimum un accès à la messagerie et dans certains cas à un logiciel tel que CRM pour des flottes commerciales). Il est donc logique que nous constations un effort d ouverture à ces nouvelles technologies, même si celles-ci créent de nouvelles vulnérabilités. Aujourd hui on accède au système d information de l entreprise : avec l ordinateur portable fourni par l entreprise, en légère hausse par rapport à Dans 78 % des entreprises, la fourniture d ordinateurs portables ne va pas sans les moyens de connexion à l entreprise, avec un poste de travail quelconque, un PC dans un cybercafé ou encore celui de la maison (27 % des entreprises, en légère hausse), avec un PDA/smartphone (33 %, en baisse cette fois). Le cas des smartphones est particulier : malgré la croissance du parc de ces équipements que nous constatons tous, les Menaces informatiques CLUSIF

25 Les Entreprises de plus de 200 salariés usages sont plus souvent interdits par les entreprises qu en Cela traduit sans aucun doute la volonté de reprise sous contrôle d une flotte d équipements qui étaient auparavant à cheval entre deux mondes : la «téléphonie» d entreprise et personnelle. Lorsqu elles sont mises en œuvre, les mesures de sécurité utilisées couvrent assez bien la problématique liée au contrôle de la sécurité périmétrique, en faisant appel à des technologies désormais habituelles comme l authentification forte ou encore le chiffrement (SSL, IPSec, etc.). Mais malheureusement, le pourcentage des entreprises utilisant ces technologies reste assez faible. Accès au SI depuis l'extérieur à partir de postes de travail nomades fournis par l'entreprise : quelles sont les solutions de sécurisation retenues? Authentification forte 56% Chiffrement des échanges 40% Pare-feu personnel 25% Chiffrement des données locales 14% Contrôle de conformité 9% Figure 15 : technologies de sécurisation des accès nomades depuis des postes maîtrisés La problématique de protection du terminal semble être couverte de façon moins exhaustive puisque malgré l occurrence régulière de vols ou pertes (au 4 ème rang des incidents cités dans cette enquête), 14 % des entreprises seulement utilisent le chiffrement des données locales, ce qui reste très faible. On sait pourtant que nombre d informations importantes se trouvent dans les fichiers locaux et les données de messagerie des dirigeants. Si l on examine le cas spécifique des smartphones, il apparaît que les solutions de sécurité sont très peu déployées : 19 % seulement des smartphones sont équipés d antivirus. Si les virus recensés sur ces plates-formes restent encore peu nombreux, il ne faut pas oublier que ce sont des ordinateurs connectés à part entière et que leur diffusion en forte augmentation devrait en toute logique attirer une attention de plus en plus grande de la part des créateurs de programmes malveillants. La mobilité interne (Wifi) progresse L utilisation du Wifi en entreprise progresse : il était interdit par 55 % des entreprises en 2006 contre 44 % en Le besoin de mobilité au sein de l entreprise est réel, et si par le passé la technologie a montré des faiblesses de sécurité, les évolutions de la norme permettent dorénavant de mettre en place des points d accès suffisamment sécurisés mettant en œuvre des systèmes d authentification et de chiffrement solides, mais nécessitant tout de même une bonne rigueur dans la définition de l architecture et le déploiement. C est d ailleurs en s appuyant sur ces mécanismes (70 % utilisent une authentification renforcée et 43 % le chiffrement des échanges) que les entreprises déploient progressivement ces solutions. Menaces informatiques CLUSIF

26 Les Entreprises de plus de 200 salariés La VoIP 5 et la ToIP 5 : un déploiement inéluctable Ce sujet est celui qui montre à la fois la plus grande stabilité entre 2006 et 2008 (puisque les chiffres sont quasi identiques) et les plus importantes prévisions d équipement pour 2008 avec 21 % des entreprises non équipées envisageant un projet. La ToIP est un cas à part, puisqu il s agit en général d une nouvelle responsabilité attribuée aux DSI, la téléphonie étant historiquement gérée par les services généraux. Ce nouveau domaine est accompagné d attentes fortes d un point de vue «disponibilité» de la part des utilisateurs. Elle apporte aussi son lot de contraintes, notamment en termes de sécurisation. Technologies de protection et de gestion des vulnérabilités Des nouvelles technologies de sécurité qui peinent à s imposer Protections contre les virus, intrusions, vulnérabilités, etc. Firewall personnel IPS IDS Firewall Antispam Antivirus % 30% 16% 9% 20% 6% 34% 27% 90% 97% 82% 70% 85% 88% 14% 10% 18% 20% 53% 50% 62% 65% 44% 50% 13% 5% 2% 10% 5% 12% 8% 3% 8% 3% 2% 1% 0% 3% 5% 4% 4% 0% 10% 10% 13% 9% 4% 3% % 14% 48% 9% Chiffrement des données SIM % 12% 27% 20% 21% 17% 47% 60% 64% 9% 10% 3% Contrôle des clés USB % 16% 12% 100% 66% 6% Usage généralisé Usage partiel Non utilisé NSP Figure 16 : technologies de sécurité / lutte antivirale, anti-intrusion, gestion des vulnérabilités 5 Voir glossaire Menaces informatiques CLUSIF

27 Les Entreprises de plus de 200 salariés Les anti-virus et firewalls font déjà l objet d une utilisation systématique et sont donc un fait acquis : il faut les deux, partout, comme des serrures aux portes. Pourtant les attaques virales restent encore régulières (30 % des entreprises ont été victimes d incidents de ce type au cours de l année 2007), sans doute lié entre autres à des problématiques de mise à jour sur certaines installations. Les logiciels antispam suivent, eux, une forte progression pour se rapprocher rapidement d une utilisation quasi-systématique, ce qui est logique eu égard à la nécessité de ce type d outil (en 2007, plus de 96 % du trafic de messagerie est constitué de spam 6 ). L usage des IDS et IPS reste stable, voir légèrement en régression. Il est vrai que les IDS nécessitent une bonne expertise et du temps pour être utilisés à bon escient, et que les fonctions IPS étant de plus en plus intégrées aux nouvelles générations de firewalls, l achat de boîtiers spécifiques se justifie moins. La mise en place de SIM 7 reste complexe à aborder du fait de la multiplicité des sources d événements et de journaux. Pourtant ces outils sont indispensables à la bonne surveillance des systèmes et sont aussi la base de possibles systèmes d alertes (en cas, par exemple, de détection d activité anormale sur un type d évènement particulier). Ce sont les plus grandes entreprises qui prévoient le plus de projets de mise en place pour 2008 (10 %), ce qui montre que ce sujet reste une préoccupation réelle. La sécurisation du poste de travail est un sujet en progression, on le voit dans les stratégies «produit» des éditeurs puisque la plupart proposent désormais des suites complètes dans leur gamme entreprise, comprenant antivirus, firewall, gestion des ports, etc. On le voit également dans les résultats de l enquête où l usage du firewall personnel progresse globalement. Ce dernier est aujourd hui plus systématiquement utilisé dans le cadre des ordinateurs portables, ce qui est bien entendu indispensable dès lors qu on l utilise pour se connecter à des réseaux ouverts. Le chiffrement des données ne progresse pas. Il est vrai que si les outils de chiffrement sont assez aisés à déployer sur des parcs de portables pour adresser les problèmes de perte ou de vol, ils sont beaucoup plus compliqués à mettre en place dès lors que l on veut chiffrer des données partagées : nécessité d une démarche de classification des informations et de processus organisationnels formalisés pour gérer les clés de chiffrement et les droits d accès aux données chiffrées. 6 Source : Panorama des menaces s - France 2007, SECUSERVE (4 janvier 2008) 7 Voir glossaire Menaces informatiques CLUSIF

28 Les Entreprises de plus de 200 salariés Thème 11 : Contrôle des accès logiques Le contrôle des accès logiques est envisagé sous trois aspects : les moyens d authentification forte pouvant être utilisés, la manière de gérer et mettre en œuvre les droits d accès des utilisateurs, les systèmes de contrôle d accès centralisés et d authentification unique (Single Sign-On). On constate que ces technologies restent peu déployées, et surtout que la situation ne semble pas avoir évoluée en deux ans, puisque les résultats 2008 sont presque identiques à ceux de Alors que l ouverture des systèmes et surtout le nomadisme se sont considérablement accélérés depuis 2006, cette absence d évolution côté contrôle d accès est préoccupante. Technologies de contrôle d'accès logique déployées en entreprise Authentification par certificat électronique logiciel 15% 26% 5% 52% 2% Authentification par certificat électronique sur support matériel 8% 15% 5% 71% 1% Authentification par mot de passe non rejouable 11% 11% 2% 72% 4% Authentification biométrique 4% 13% 3% 77% 3% Modèle d'habilitation par rôle ou profil métier 24% 11% 4% 59% 2% Workflow d'approbation des habilitations 15% 17% 5% 60% 3% Provisionning 9% 9% 3% 77% 2% SSO 7% 12% 5% 73% 3% Web SSO 3% 7% 4% 82% 4% Largement utilisé Expérimenté Envisagé Non utilisé NSP Figure 17 : technologies de contrôle d'accès logique déployées en entreprise Menaces informatiques CLUSIF

29 Les Entreprises de plus de 200 salariés Légère percée de la biométrie, progrès des certificats Les moyens d authentification sont la clé de voûte de l identité numérique, et sont donc un des éléments fondamentaux de sécurisation des SI, notamment pour les aspects liés à la traçabilité. Si la très grande majorité des entreprises n utilise toujours pas d authentification forte, ni n envisage d expérimenter les diverses solutions disponibles courant 2008, on constate cependant une légère percée de la biométrie : 4 % des entreprises se sont mises à l utiliser largement au cours des deux dernières années et 8 % de plus sont en cours d expérimentation. L utilisation des certificats sur support logiciel, solution arrivant en tête en 2006, se confirme cette année encore et même se renforce légèrement (5 % des entreprises en plus les ont largement adopté, avec un volume constant d entreprises en cours d expérimentation), même si nous sommes encore loin d une adoption massive puisque la moitié des entreprises n envisagent toujours pas de passer le pas. Les autres technologies d authentification forte ne montrent pas d évolution notable. De manière surprenante, les entreprises pionnières en la matière ne sont pas les plus grandes, mais celles dans la tranche de 500 à 999 salariés. Elles sont par exemple 19 % à utiliser largement des certificats logiciels, et 15 % des certificats sur support matériel (carte à puce, clé USB cryptographique, etc.), contre respectivement 14 % et 9 % sur l ensemble des entreprises. Les secteurs financiers et des services témoignent comme dans d autres domaines d une avance sur les autres secteurs d activité : leader sur le déploiement des dispositifs d authentification forte, il n y a que pour la biométrie où un autre secteur (transports et télécoms) envisage davantage d étudier cette solution. Gestion des habilitations : des progrès timides Les modèles de gestion des habilitations n ont pas évolué en deux ans, 6 entreprises sur 10 n ayant pas de gestion par rôle ou par profil métier (tel que le modèle RBAC : Role Based Access Control), et n envisageant pas à court terme de s en doter. Ce modèle étant une condition souvent nécessaire à la maîtrise des droits, il est à craindre que ces entreprises ne puissent rationaliser leurs processus de gestion de droits. Par contre, il semble que celles qui ont mis en place un tel modèle en 2006 aient poursuivi leur logique en renforçant leurs outils de gestion : dans un premier temps, par la mise en place en cours d un workflow de validation des habilitations (+ 6 % pour l expérimentation, mais le nombre de workflow largement utilisés reste identique), voire pour les plus avancées par la mise d un système de distribution automatique des droits (provisioning), avec là aussi + 6 % en cours d expérimentation, pour un nombre de dispositifs pleinement opérationnels stables. Le faible nombre d entreprises envisageant de renforcer leur gestion des habilitations en 2008 est surprenant, puisque les évolutions légales et réglementaires (Loi sur la Sécurité Financière, Sarbanes- Oxley, etc.) tendent à augmenter le niveau d exigence en matière de traçabilité et de maîtrise des droits d accès. Contrôle d accès et SSO : les grandes entreprises l expérimentent Les dispositifs de Single Sign-On (SSO et Web SSO) peinent eux aussi à séduire les entreprises, avec toutefois une légère amélioration en perspective : si le nombre d entreprise les ayant généralisés reste stable, on constate le doublement du nombre de celles les expérimentant en 2008, avec une forte avance des plus grandes entreprises. En effet, les expérimentations sont proportionnellement deux fois plus nombreuses dans la tranche des plus de 1000 salariés que dans les autres tranches. Mais plus des trois-quarts des entreprises n envisagent toujours pas de telles solutions, qui apportent pourtant un réel confort aux utilisateurs, facilitant ainsi le respect de politiques de mots de passe plus strictes. Menaces informatiques CLUSIF